Contenu du cours
Quiz Gratuits — Aperçu Examens Blancs
Gouvernance multi-cloud sans structure : le chaos de FinServ360
47Nombre de comptes/subscriptions cloud actifs63%Pourcentage de ressources sans tag de classification des données2,4 M€Budget annuel cloud (toutes plateformes)34 joursDélai moyen de détection d'une mauvaise configuration

FinServ360 est une fintech européenne proposant des services de paiement en ligne à destination des PME. En l'espace de trois ans, elle a déployé des workloads sur trois fournisseurs cloud distincts (AWS, Azure et GCP) sans avoir défini de structure organisationnelle centralisée. Chaque équipe produit gère ses propres comptes cloud de manière autonome, sans landing zone commune ni politique centralisée, ce qui a conduit à une fragmentation des contrôles de sécurité et à une dérive de configuration progressive non détectée.

  1. Quel est le risque principal engendré par l'absence de structure organisationnelle claire sur les 47 comptes cloud de FinServ360, et quelle solution de gouvernance technique permettrait d'y remédier ?

  2. FinServ360 envisage de mettre en place un governance board. Quel doit être son rôle exact dans la gestion des guardrails partagés, et comment doit-il interagir avec les équipes produit ?

  3. Lors de la conception d'un modèle de services partagés sécurisé pour unifier les 47 comptes cloud de FinServ360, quels principes doivent guider l'accès aux ressources et la conception réseau ?

Pipeline CI/CD compromis : la crise de Logistix Cloud
8 à 12 déploiements/jourFréquence de déploiement quotidienne11 joursDurée de présence en production d'une image compromise23 secretsNombre de secrets stockés en clair identifiés6 semainesDélai cible de remédiation post-audit

Logistix Cloud est une scale-up spécialisée dans la gestion de chaîne logistique en SaaS, hébergée sur AWS. Son équipe DevSecOps déploie des mises à jour plusieurs fois par jour via un pipeline CI/CD entièrement automatisé. À la suite d'un audit interne, il a été découvert que les artefacts de build ne sont pas signés, que des secrets d'API sont stockés en clair dans des variables d'environnement du pipeline, et que des images conteneurs sont téléchargées directement depuis Docker Hub public sans vérification préalable. Un incident de sécurité récent a révélé qu'une image compromise avait été déployée en production pendant 11 jours avant détection.

  1. Quels contrôles techniques doit mettre en place Logistix Cloud pour sécuriser son pipeline CI/CD contre les attaques de la chaîne d'approvisionnement et éviter qu'une image compromise soit à nouveau déployée ?

  2. Comment Logistix Cloud doit-il gérer les 23 secrets actuellement stockés en clair dans le pipeline, et quelle pratique DevSecOps doit être instaurée pour éviter la récurrence ?

  3. Suite à l'incident des 11 jours, l'équipe doit reconstruire les environnements affectés. Pourquoi la reconstruction depuis le code IaC est-elle préférable à une restauration depuis un snapshot, et comment l'IaC versionné facilite-t-il la réponse à l'incident ?

Exposition de données sensibles : le cas MedData RGPD
14 sur 38Nombre de buckets avec ACL publiques identifiés2,3 ToVolume de données patients potentiellement exposées90 joursDélai avant contrôle réglementaire30 jours (par défaut)Durée de rétention des logs actuellement en place

MedData est un éditeur de logiciels de santé qui héberge des dossiers médicaux électroniques sur une infrastructure IaaS (Azure). À la suite d'une migration cloud réalisée rapidement, un audit de conformité RGPD a révélé que plusieurs buckets de stockage objet contiennent des données patients accessibles publiquement en raison d'ACL mal configurées. Par ailleurs, l'équipe utilise des clés de chiffrement entièrement gérées par Azure sans contrôle client, et aucune politique de rétention des logs d'audit n'a été formalisée. Un organisme de réglementation a notifié MedData d'un contrôle prévu dans 90 jours.

  1. Comment MedData doit-il corriger la mauvaise configuration des ACL sur ses 14 buckets exposés, et quel cadre de contrôle CCM soutient cette démarche de remédiation ?

  2. MedData utilise des clés de chiffrement entièrement gérées par Azure. Pourquoi cela est-il insuffisant au regard de la conformité RGPD, et quelle solution doit être mise en œuvre ?

  3. La durée de rétention des logs de 30 jours par défaut est-elle suffisante pour préparer le contrôle réglementaire dans 90 jours ? Quels types de logs sont critiques et quelle politique doit être formalisée ?

Architecture microservices exposée : SecureRetail et la sécurité API
22Nombre d'API publiques exposées4,2 millions de requêtesPic de requêtes anormales détecté sur 24h78%Pourcentage de trafic inter-microservices non chiffré47 joursDélai entre déploiement de la faille et détection par pentest

SecureRetail est une entreprise de commerce en ligne qui a migré son monolithe vers une architecture microservices déployée sur GCP. Son équipe a rapidement exposé une vingtaine d'API publiques pour alimenter une application mobile grand public. Un test de pénétration commandé après une augmentation inhabituelle du trafic a révélé plusieurs failles critiques : absence de rate limiting sur trois API critiques, désérialisation non sécurisée sur l'API de panier d'achat, et communication inter-services non chiffrée en interne. Le WAF périmétrique en place n'a détecté aucune de ces anomalies.

  1. Pourquoi le WAF périmétrique de SecureRetail n'a-t-il pas détecté les attaques sur les microservices internes, et quels contrôles complémentaires doivent être mis en place ?

  2. Lors de la modélisation des menaces STRIDE sur les API publiques de SecureRetail, quelles faiblesses identifiées lors du pentest sont prioritaires et comment doivent-elles être corrigées ?

  3. SecureRetail envisage de migrer vers une architecture Zero Trust pour ses microservices. Quels éléments IAM et de gestion des identités sont essentiels, et comment éviter le privilege creep dans les rôles automatisés des builds ?

Résilience post-incident et conformité : le cas CloudBank après une compromission
15 000Nombre de clients dont les données ont été exfiltrées6 joursDurée de la compromission avant détection72 heuresDélai de notification au régulateur requis par DORA4 sur 4Nombre d'exercices tabletop réalisés sans le CSP l'année précédente

CloudBank est une néobanque opérant sous licence bancaire européenne, hébergeant ses services critiques en mode IaaS/PaaS hybride sur AWS. Suite à une compromission d'un compte administrateur avec des privilèges excessifs, l'attaquant a réussi à exfiltrer des données de 15 000 clients sur une période de 6 jours avant qu'une alerte soit levée. L'investigation forensique post-incident a révélé l'absence de revue des logs IAM, une politique PAM inexistante, et des exercices de réponse aux incidents qui n'impliquaient jamais les équipes AWS. La banque doit maintenant se conformer aux exigences DORA (Digital Operational Resilience Act) et démontrer sa résilience opérationnelle au régulateur.

  1. Comment une politique PAM (Privileged Access Management) aurait-elle pu limiter l'impact de la compromission du compte administrateur chez CloudBank, et quels contrôles IAM spécifiques doivent être déployés ?

  2. Pourquoi les 4 exercices tabletop réalisés sans impliquer AWS ont-ils constitué une lacune majeure dans la préparation de CloudBank à la réponse aux incidents, et comment corriger cette approche ?

  3. Dans le cadre de la reconstruction post-incident de ses environnements compromis, CloudBank doit démontrer au régulateur l'intégrité de son infrastructure. Quel rôle jouent l'IaC versionné, les builds signés et les logs d'audit dans cette démonstration ?

Retour en haut